CAPTCHAを悪用してセキュリティ機構を回避するマルウェアが登場。マイクロソフトが警告 20
ストーリー by nagazou
まさか悪用されるとは 部門より
まさか悪用されるとは 部門より
ゆがんで表示された文字を人間の目で見て正確に入力することで、人間なのかコンピューターなのかを判断するのに使われている「CAPTCHA」。そんなCAPTCHAをハッキングに使う事例があるそうで、Microsoftが警告を出している。ハッキングの手法は、メールによるURL誘導や添付ファイルを使用し、トロイの木馬「GraceWire」をダウンロードさせるというもので、ここまでは一般的なフィッシング攻撃だ。
特徴的なのは、このファイルをダウンロードさせる段階でCAPTCHAを解かせている点。URLで誘導された先は、CloudflareのDDoS保護ページを偽装したものとなっており、アクセスのためにユーザーがGoogle reCAPTCHAを解決する必要がある。一見、手間がかかるだけで、メリットがないように見えるが、被害者本人にCAPTCHAを解かせることで、セキュリティサービスやブラウザなどに実装されている「自動検出」を回避でき、トロイの木馬を仕込みやすくなるという(GIGAZINE、Hacking News)。
宣伝系メールもCAPTCHA導入してくんないかな (スコア:1)
ウチのセキュリティソリューションがメール内のURLをチェックするようになってるんだけど、
トラッキングコード付きURLを全部踏んでくれるおかげで、
相手方から「お問い合わせありがとうございます」って折り返し営業がバンバン来るんだよね。いや俺は踏んでないし。
ちゃんと人間が踏んでるかチェックしてくれないと、お互いに時間が無駄だよ。
Re: (スコア:0)
それリンクを踏んだかどうかで見込み客と判断してる、メール送った会社側が悪いんじゃないの
キャプチャ導入しても、変わらないと思う
Re: (スコア:0)
生きているメールアドレスであることが分かればいいんだから合ってるんじゃない?
その後が無駄になるかどうかは営業の力量次第。
Re: (スコア:0)
> その後が無駄になるかどうかは営業の力量次第。
本当そう
「お問い合わせありがとうございます」ってめちゃくちゃ可愛い営業の人から電話が掛かってきて
それが縁で結婚することだってある…かも
Re: (スコア:0)
アカウント登録の確認メールとかも勝手にアクセスして本登録完了にされちゃうんじゃないかと心配だわ
Re: (スコア:0)
URLに単純にアクセスしただけでは契約完了としてはいけない、みたいなコンセンサスが生まれてくれると良いな。
Re: (スコア:0)
メーラーがHTMLメールの外部リソース読むのが問題視されるようになって
メーラー自身の機能で許可出すまで外部リソース読まなくなって何年だ……?
それ以前のメーラーでさえ読むのはimgタグとかのだけでリンクまで踏み抜く愚は犯さないんだが、
十年以上前のメーラー以下のセキュリティ意識しかないのではないか。
リンク踏んだ時点で不可逆なアクション(アカウント消去やML登録解除、
第三者が勝手にメールアドレス使った際の認証操作など)が行われたらどうする気なんだろう。
保護のためにチェックするというのは建前で、
情報吸い上げるのが主目的でも驚かないかな……
メール内のURLにプリフィックス付けてチェック掛けるなり、
通信監視なりでアクセス時にチェック掛けるなりしてれば良いのに。
セキュリティソリューションでセキュリティ下がってたら世話ないし、
そんなしょうもない製品は廃止するよう働きかけるべきではないか。
だいぶ前からあるね (スコア:0)
セキュリティサービスという名のスパイ活動(URL自動収集)で脅威検出できないだけで、ダウンロードされたファイル自体の脅威検出は通常通り行われる。
#キャプチャや絵を選ばせるのはうざいだけだから廃れて欲しい。何度やってもクリアできないことあるし
Re: (スコア:0)
英数字を入力するタイプなら紛らわしい文字は除外してほしいし、絵の範囲を選択するタイプなら境界付近にあるのはずらしてほしい。
Re: (スコア:0)
写真の中から「歩行者」を選択してください
歩道でバスを待ってる人を選択したらNG
写真の中から「バイク」を選択してください
オートバイに混じって置いてある自転車を選択してないとNG
もうちょっと和訳まともにやってくれと。
「トラクター」には殺意を覚えた (スコア:2)
Re: (スコア:0)
歩かないで立っているだけの人を「歩行者」とするのは日本語のバグのような気が
Re: (スコア:0)
バグならどう修正するのか興味がある
Re: (スコア:0)
日本語でも、「軽車両を選択してください」のときに馬を選択し忘れるとNGだったり
そんな問題ださないつーの
Re: (スコア:0)
もっと酷いのは「自動車」を選択してくださいで自動車が写った写真が1枚もなくて
信号機が写った写真がいくつかあるから、誤訳かな?って試しに信号機の写真を全部選択したら通っちゃったりなんてのもあったな
(誤訳なのかバグなのか謎)
Re: (スコア:0)
機械学習の正解値付に協力させられているのでたまに微妙な画像が混ざる。
お題に合致しない画像を提示された場合の反応を見て人間と機械を区別している。
というのが合致しない画像を出される理由らしい。
Re:だいぶ前からあるね (スコア:1)
そのうち、錯覚を利用したりトリック問題を出したりて「間違う奴が人間だ」みたいな判定も出てくるんですかね。
Re: (スコア:0)
QB houseで順番待ちの人の写真
写真の中から「ヅラ」を選択してください
衆院議場の写真
写真の中から「ヅr
リアルタイム監視 (スコア:0)
これがリアルタイム監視のアンチウイルスをすり抜ける方法としては、
https暗号化でアンチウイルスに解析させない+ブラウザのexploit使って任意コード実行+OSのexploitで権限昇格、で行けちゃうのかな?
たまにssl通信を乗っ取る(man in the middleと同じ)アンチウイルスあるけど、そういうのなら行儀悪いけど防げそう。
あとはブラウザをサンドボックスとかで走らせておいて、exploitの実行を感知か防ぐとか?
よし、じゃあCAPTCHA自動突破機能を付けてくれ (スコア:0)
連続ダウンロード制限とかも迂回して、安全確認済みのファイルを1クリックでダウンロードできるようにしてくれ